时间:2023-12-19 15:01:46
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇欧盟网络安全战略,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
【关键词】互联网+;高校;网络安全;安全教育;高校安全
一、我国高校网络安全教育的现状
目前,对于高校网络安全管理工作,教育部和各个高校都出台了相关的意见与政策,通过效果反馈来看,高校学生网络安全教育确实具有一定成效。但不可否认的是,目前我国对于高校学生的网络安全教育仍暴露了很多问题。网络借贷诈骗、“徐玉玉电信诈骗案“等各种各样发生在高校的网络安全案例依旧层出不穷,我国高校学生网络安全教育现状依旧不容乐观。
(一)学生网络安全意识淡薄
高校学生有着强烈的求知欲和好奇心,同时由于摆脱了高考的巨大压力,远离家长的管束,对互联网上的新鲜事物都想要去探索,加之高校学生的世界观、人生观、价值观处于正在形成的阶段,个人对于来自外界信息的鉴别能力有待加强,容易被网络上不实的、有害的信息所影响。很多人在网络这个巨大的诱惑面前,失去自我控制能力,迷失自我,从而造成高校学生走岔路,偏离正常的发展轨道,身心都受到伤害。
(二)高校网络安全教育具有一定的滞后性
根据相关规定,高等学校学生的安全教育及管理强调要以预防为主,做好教育、管理和处理工作。但在现实中,高校的网络安全教育并没有得到足够的重视。高校相关责任人未能及时应对网络安全隐患,对已出现的网络安全问题判断的不够严谨,没有掌握网络安全教育的主动权。这种做法不利于高校学生的网络安全教育。
(三)网络安全教育模式传统且单一
传统的网络安全教育模式是通过书本教材展示、以授课的形式教给学生。这种传统的教育模式仅仅将有关网络安全相关的理论传授给学生,并没有使他们直观的感受到实际生活中网络存在的不安全隐患,难以产生更深入了解网络安全的兴趣。同时由于对此种类型的授课成果不做强烈要求,未引起学生对网络安全的足够重视。进入新媒体时代,传统的教育教学模式已难以适应他们的需求,需要进一步改进网络安全教育模式。
(四)专业化的网络安全教育师资缺失
当前,高校普及网络安全教育知识,多是由负责信息技术课程和思想道德与法律修养等公共选修课的老师及学校相关职能部门人员进行授课,而专业化的网络安全教育师资队伍处于缺失的状态。缺少网络安全教育专业技术素养,相关网络安全教育知识没有得到更新,因而会直接影响网络安全教育开展的效果。
二、国外高校网络安全教育的经验
面对越来越复杂的网络安全格局,世界各国针对高校网络安全教育纷纷出台相关政策,提出相关措施。这些对于完善我国高校网络安全教育具有十分重要的参考价值。
(一)增强网络安全战略意识
欧盟及其成员国非常重视高等院校学生的网络安全教育,已经将其提升至国家教育的高度。《欧盟网络安全战略——开放安全的网络空间》将“组织大学生网络安全知识竞赛,鼓励大学生提出网络与信息安全解决方案”作为提升欧盟整体网络安全意识的重要内容。澳大利亚为了更好的普及网络安全战略,专门设立了“国家网络安全意识周”,同时,澳大利亚高校在政府的号召宣传下,将网络安全单元课程纳入到日常教学中,开展了大学生网络安全教育主题实践活动,进一步将理论与实践相结合。
(二)多方力量合作,协同创新发展
在新西兰,政府部门、高等院校、社会企业等第三方组织进行合作,共同推动网络教育的发展。政府部门在总揽全局的同时,兼顾好各方利益,同时要对网络安全教育的实施进程进行监管;高等院校维护着网络安全教育的阵地,采用多样化的模式安排好网络安全教育课程,对学校的网络安全相关制度及时加以补充与完善;社会企业等第三方参与者通过提供资金,支持着安全技术的研发,从而为全方位的高校学生网络安全教育提供了物质方面的可能性。通过多方力量的合作,更进一步促进高校网络安全教育的发展。
(三)开发网络安全教育新模式
澳大利亚政府为保障网络安全,专门研制了“网络安全帮助按钮”系统。使用者可以随时随地通过这个系统获得相关的网络安全问题信息及有效帮助。通过在高校学生群体中的广泛推广,将网络安全教育进一步进行普及。该网络安全系统目前已成为澳大利亚高校学生交流或报告网络安全问题的重要线上阵地。新西兰在进一步加强对教育课堂投入的同时,积极开拓多样化的学习载体,选择多种形式和渠道普及网络安全教育。让学生更有兴趣、更弹性化地充分参与到网络安全教育中来。
(四)培养专业化网络安全教育人才
在欧盟及其成员国家的高等院校中,教师必须通过专业化的网络通信安全技术知识培训并持有特定的教师资格证才能够从事校园网络管理工作:在希腊,教育部会组织高校教师进行专业化培训;法国则采取的是一种层级制的网络安全教育,即专家首先对该学校校长进行培训后,再由校长对学校各层级教师进行进一步讲解,最终各层级教师再结合学校的具体情况安排相关的课程。
三、科学地构建中国高校网络安全教育体系
通过吸收西方发达国家有关高校网络安全教育的经验,结合当代我国高校实际情况,更科学地构建我国高校网络安全教育体系。
(一)培养高校学生的网络安全预防意识
高校应该进一步加大对学生网络安全教育的深度和广度,在授课时应结合实际情况补充最新的网络安全犯罪案例,传授实用的防范网络诈骗等不良行为的措施,让其在生动的授课中提高对网络的警惕性,同时在校园内,可通过设置宣传栏和条幅来科普增强网络安全意识的重要性。学生的网络安全意识在潜移默化的影响中提高了,他们的自我保护能力也会增强,也更能在网络世界里做一个遵纪守法的好网民。
(二)推动政企协作,推进协同创新
应当在发挥学校主体作用的同时,加强多元主体的合作与支持。政府应在调研的基础上,颁布相关的网络安全法律法规;企业通过设立网络安全方面的科研基金,研制最新技术,与高校共建网络安全实验室;高校应进一步将网络安全管理规范化,将理论课程与课外实践更好的结合在一起。在高校网络安全管理的各个环节加强政府、企业与高校的合作,才能进一步促进网络安全技术的改进、网络安全教育专业化人才的培养以及网络安全教育体系的更新与升级。
(三)创新高校网络安全教育模式
高校在传统课程教育的基础上,应创新网络安全教育模式,提高学生学习的兴趣,进一步培养学生网络安全意识。在线下,高校可以通过组织讲座和竞赛等形式,提高学生对网络安全问题的关注度;在线上,学校可以通过开发相关应用,以擂台赛答题并有奖励等形式吸引学生参与到网络安全教育的普及中来。
(四)提高师资水平,培育专业化人才
授课教师的水平将会直接决定网络安全的教育水平。高校需要积极创造条件,培育专业化的网络安全教育教师。通过聘请网络安全教育领域的专家及相关人才到高校任教,同时,在吸收学习发达国家的先进理念及相关措施的基础上,选派相关领域的教师进行出国培训与交流经验,也鼓励国外与国内高校展开网络安全教育方面的合作,欢迎国外教师亲临或远程指导国内网络安全教育课程,从而能够更专业地为我国大力开展高校网络安全教育打下良好的基础。
网络安全:日本防务的新重心
在信息时代,网络已渗透到人们生活的方方面面。因特网将世界15亿网民联结到一起,为人们的生活创造了无限的可能。人们在享受信息科技所带来的巨大便利的同时,也面临着新的安全隐患。网络犯罪、黑客袭击以及感染病毒等各种花样翻新的网络事件不断困扰着人们的日常生活。
近些年日本屡屡出现网络安全事件。其中2006年“朝雪”号驱逐舰泄密事件被称为日本防卫史上最大的泄密灾难。“朝雪”号驱逐舰上的工作人员擅自将该舰机密情报存入个人电脑,因其电脑感染病毒导致大量高级机密泄露。泄密的内容包括舰组人员的姓名、海上自卫队的密码表、紧急呼救电话以及该舰的训练和作战纪录等。同时泄露的数据还包括海上自卫队专用的海图软件,据此专业人士可以推断出海上自卫队的作战能力。
在21世纪,信息化和数字化是现代战场的基本特征。传统战争的打击对象是一国的军事设施和军事人员,而网络战则以一国的关键基础设施作为攻击目标,使战争与和平之间的界限不再泾渭分明。网络袭击价格低廉、隐蔽性强,却具有极大的破坏性,可以导致交通瘫痪、金融系统紊乱、大面积的断电,给一国所造成的灾难不亚于一场小规模战争。当前世界各国都高度重视网络安全议题,将网络空间视为继陆、海、空和太空之外的第五维战场。
面对网络空间这一没有硝烟的战场,日本将加强网络安全作为21世纪防务建设的主要着力点。日本2011年度《防卫白皮书》首次将网络袭击列为其面临的首要安全威胁。白皮书指出,信息技术革命提升了军队对信息通信网络的依赖程度。如今各国的政府和军队都频繁遭到网络袭击,为此有必要提高自卫队情报系统和通信网络的防护能力。日本于2011年组建了网络空间防卫队,努力增强其在网络空间的战斗能力。
日本的网络战能力有多强
作为世界科技强国,日本将网络安全置于国家战略高度,早在2000年就制定了“IT基本战略”,又于2001年制定了“电子日本战略”,以追求在网络领域的国际领先地位。
看点一:以高额军事投入为后盾
日本高度重视军事科技的发展。美国麻省理工学院教授、日本安全问题专家理查德・萨缪尔斯在其名著《富国强兵――国家安全与日本的科技转型》中指出,日本坚信科技发展是保障国家安全之本。自明治维新以来,日本一直精心扶植军事产业发展,努力实现军事科技的本土化,以实现其富国强兵的战略诉求。二战后,数据处理、电子通讯和光电技术等军民两用产业的飞速发展,正是日本经济奇迹的助推器。
近年来日本更是在网络战领域投入重金。从2005年到2009年,日本防卫省在信息化建设领域的投入高达1.5万亿日元,约占同期国防费总额的4%。2006年“朝雪”号驱逐舰泄密事件后,日本专门投入40亿日元为防卫省人员配备电脑,实现了防卫省电脑的更新换代。日本2012年度防卫预算概算总额达4.8亿日元,其中2.2亿日元用于防御网络攻击的“防病毒”等方面。
看点二:以先进的作战理论为指导
兵以计为本。日本已确立一套成熟的网络战理论,指导其在网络空间的备战措施。日本2005~2009年度《中期防务力量发展计划》明确提出将“瘫痪战”理论作为网络战的指导思想。日本军事专家指出,21世纪的战争形态正由工业化时代的“消耗战”向信息化时代的“瘫痪战”转变。瘫痪敌人的作战网络,将收到事半功倍的效果。按照这一指导理念,日本在战争中将首先运用网络武器,使敌方的关键战略资源陷入瘫痪。
日本防卫省所研制的网络病毒表面上是一种防御武器,主要是为了防御日本的信息系统受到敌方攻击。然而在实际操作领域,这种武器具有很强的进攻性,体现了“瘫痪战”的指导思想。它既可以搜集情报,又可以向对方的指挥系统发动进攻,使之陷入瘫痪。如果这一武器真的投入使用,事实上就突破了“和平宪法”对日本自卫队行使自卫权的限制。
看点三:以完备的指挥控制体系为依托
日本防卫省于2011年建立“网络空间防卫队”,隶属于自卫队指挥通信系统部。指挥通信系统部是日本联合参谋部的下设机构。联合参谋部成立于2006年,旨在建立陆海空三军协调一致的指挥体系,于2009年开始统领三军自卫队情报工作,实现了三军之间的信息共享。在联合参谋部下,防卫省已建立完备的C4ISR(指挥、控制、通信、计算机和情报侦察能力)指挥控制体系。
日本自卫队已经建立起一套高效的数字化通信网,实现自卫队各军种、各部门网络系统之间的实时信息共享。日本还在积极研发卫星定位系统,计划于2020年建立由四颗准天顶卫星组成的“准天顶卫星系统”。新成立的网络空间防卫队包括自卫队陆海空三军的计算机专家,直接负责在网络空间的攻防作战,主要工作包括防止黑客入侵、研制破坏他国网络系统的网络武器、研究网络战的战术等。
借网络战扩大国际影响力
日本积极备战网络战领域,以掌握制信息权,日本在网络安全领域所采取的各种举措旨在从三方面扩大其国际影响力。
其一,利用网络战的模糊空间,走向正常国家。9.11事件以后,日本逐步突破海外派兵限制,出兵伊拉克,重返印度洋,其安全利益已远远超越东北亚地区。2011年底,日本又大幅放宽武器出口限制,致使“武器出口三原则”名存实亡。借助在网络这一虚拟空间的备战措施,日本可以进一步突破“专守防卫”的基本军事战略方针,进一步扩大安全影响力。
日前,国际海事组织(IMO)和欧盟联合的合作项目“减缓航运业气候变化”即将启动,届时会建立5个海事技术合作中心(MTCC),分别设立在非洲、亚洲、加勒比海地区、拉丁美洲和太平洋地区这5个核心区域,进而形成一个全球合作网络。
这一项目,旨在帮助减缓气候变化带来的有害影响,呼吁各方就建立海事技术合作中心促进海事技术领域相互合作提交正式的意见书。
欧盟将提供给这些海事技术合作中心1000万欧元的项目资金,打造成一流中心,推进船舶节能技术和高效运营,减少船舶有害气体排放。IMO正邀请位于核心地区且具备创建海事技术合作中心能力的组织于2016年5月15日之前向IMO提交意向书。
每一个海事技术合作中心将由该地区内的一个现有组织(或由多个组织组成的联盟)创建,且该组织或联盟声誉良好,与该行业和政府积极合作,具有良好的区域拓展记录,具备为这一中心提供实物创建支持的能力,如提供办公地点以及相关的后勤支持。
Inmarsat计划推出新型海事网络安全服务
近日,英国卫星通信服务提供商Inmarsat与新加坡电信达成战略合作伙伴关系,旨在为全球海事行业提供网络安全工具。
依据合作声明,新加坡电信下属的网络安全公司Trustwave将提供“统一威胁管理”(UTM)服务,通过保护海运公司数据来降低网络风险。新加坡电信称UTM服务提供了一套网络安全防御项目,如高级防火墙、防病毒、入侵防护及网页过滤等。此外,合作声明还显示,新加坡电信和Inmarsat计划于2016年下半年推出新型海事网络安全服务,并将通过FleetXpress宽带解决方案落实。据悉,FleetXpress宽带解决方案由Inmarsat在2016年3月推出,是首次由单一的通信运营商向全球海事和海上经营者提供的高速宽带解决方案,其目标是提升经营者商业智能化水平,提高运行效率和船舶性能。FleetXpress的推出标志着智能船舶航行的开始。
渤船重工将建中国首艘海洋核动力平台
中国首艘海洋核动力平台即将在中船重工集团旗下渤船重工进行总装建造,而中船重工未来将批量建造近20座海洋核动力平台。实现批量建造后,每年将形成上百亿的核动力装备制造产值,并带动相关配套产业发展,用5年时间打造成国内最强的海洋核动力平台产业集团。
据悉,根据《国家发展改革委办公厅关于设立海洋核动力平台国家能源科技重大示范工程的复函》,中船重工集团已确定海洋核动力平台示范工程在渤船重工总装建造。为尽快获取项目开工资质,4月19日,渤船组织辽宁省经信委、葫芦岛市经信委、代表室、中船重工核安全办驻公司监督组、719研究所,召开了海洋核动力平台示范工程总装建造厂址有关事宜论证会。
摘 要 在经济全球化和信息全球化的趋势之下,信息也已成为社会发展最重要的战略资源,经济信息的安全直接关系到一国的经济安全甚至是国家安全。而与信息先进国相比,我国对经济信息安全的保护近乎空白,我国应全面提高我国信息安全水平。
关键词 信息全球化 经济安全 信息安全
随着经济全球化和信息技术的飞速发展,信息已成为社会发展最重要的战略资源。经济信息的安全程度,已成为一国经济软实力乃至综合国力的重要标志。
一、我国经济信息安全的现状
近年来,我国信息产业持续高速发展,对社会生产效率和人民生活水平的提高,正产生着深远的影响。但是与信息先进国相比,我国对经济信息安全的保护近乎空白。我国经济信息安全面临“内忧外患”。
(一)“内忧”
1.计算机网络技术相对落后,信息防范、保密能力差。由于信息网络在我国各行各业的普及应用及其海量信息流的特点,信息安全在我国经济、社会中的影响也越来越不可估量。目前我国信息技术设备主要依赖于进口,而由于技术能力的限制,引进的产品往往又缺乏信息安全保护所必需的安全检测和技术改造,甚至隐藏着“危害性程序”,这就使得我国信息产品技术上受制于人。同时信息网络技术作为一种先进技术本身就存在着固有的“漏洞”和“缺陷”,2010年,国家信息安全漏洞共享平台共收集整理信息安全漏洞3447个,而这些漏洞正是信息系统遭遇攻击的重要内因。
2.信息安全相关的法律政策和制度措施不完善。近年来我国虽也出台了不少专门保护信息安全的法律,但由于我国立法上的滞后,已出台的很多法律也缺乏明确性与可操作性,经济信息的保密性、完整性以及可控性,还远没有得到有效维护,不能满足现实生活的需要。
3.全社会经济信息安全的意识淡薄。我国经济信息的主要信息源是企业和地方政府等微观部门,而有些微观部门往往因为主客观的种种原因不能、不愿意完善地上报信息,甚至捏造信息,造成始于信息源的失真;同时具美国有关机构调查结果显示,在美国的计算机安全损失事件中,信息外泄的内部安全威胁占85%,中国的国家互联网应急中心也作了相关调查,结论基本一致,我国信息安全面临严重内部安全威胁。
(二)“外患”
1.国际信息不对称现象严重。我国没有自己的金融信息平台,不能主动、有效地传播自己的信息和及时、充分地接收所需的信息;作为“游戏规则”制定者的少数发达国家,垄断了世界主要的经济信息,我国所需数据大多是引用或购买得来的。而这些都致使我国在国际经济信息的传递、使用上都处于被动地位。
2.国际窃取经济信息活动猖獗。肯尼思J阿罗在其《信息经济学》中指出:“大多数经济决策都是在相当不确定性条件下做出的……。一旦不确定性的存在形式是可以分析的,信息的经济作用就变得非常重要了。人们可以花费人力及财力来改变经济领域以及社会生活其他方面的不确定性,这种改变就是信息的获得。”为了获取信息,各国及各大利益集团基本都有自己的情报网络且窃密手段繁多、技术先进。2010年,我国互联网应急中心监测发现共近48万个木马控制端IP,其中有22.1万个位于境外;共有13782个僵尸网络控制端IP,有6531个位于境外。除技术手段,他们还通过派遣间谍、商业贿赂、聘用离、退休官员等渠道获取信息。
二、增强我国经济信息安全的对策分析
(一)大力发展信息安全技术水平
大力发展信息安全技术水平,就要全面提高创新能力,加强自主的信息和网络技术的研发,尽快推动开发和生产具有我国自主知识产权的如CPU等的电脑核心硬件和电脑软件操作平台,并力争使其产业化,用我国自己的安全设备加强信息与网络的安全性。同时我国应从安全体系整体的战略高度开展强力度的研究工作以推动我国信息安全产业的发展。
(二)建立和完善信息安全保障体系,提高全民意识
要保障信息安全,必须建立全面统一的信息网络安全管理的国家体制;有针对性的立法,及早建立健全我国信息安全的法规体系,这方面美国政府已出台《加强网络安全法案》等针对网络安全的法律文件,欧盟也正式了《欧洲数字化议程》五年规划;必须建立规范的管理体制;必须提高全民、媒体从业人员、各级领导的信息安全意识,特别要加强信息人员和系统管理员的安全责任意识,培养更多信息安全领域的技术与管理人才,形成国家、企业、机构和个人全方位、多领域的配合,协调共建信息网络安全保障体系。
(三)积极参与国际合作
信息全球化使得各国经济安全和全球经济安全紧密地连接在一起,国际上在信息安全方面已多有合作,2010年11月,欧盟举行了由欧盟成员国和冰岛、挪威、瑞士3个非成员国参加的“欧洲2010网络”演练。我国应积极借鉴和吸收信息先进国的经验和做法,提高信息安全保障能力,同时应与其他国家、组织一道积极推动有关信息安全的国际法的制定,保障自身利益。
三、结束语
总之,基于信息技术的广泛应用和信息化的深入发展,信息安全也已成为经济安全、国家安全的重要前提。对于我国,经济信息安全直接关系到社会主义现代化建设的进程,关系到我国的国家安全和社会和谐,我国必须不断提高我国信息安全的防范能力。
参考文献:
[1]中国现代国际关系研究院经济安全研究中心.国家经济安全.时事出版社.2005:224-252.
ENISA对2002~2012年期间举行的85次不同层级的网络演习进行了调研,既有单个国家演习又有多国演习,既有针对私营企业或政府机构的演习又有二者结合的演习。全球共计84个国家参加多国网络演习,欧洲共有22个国家组织过全国性网络演习。
主要结论
欧洲网络与信息安全局认为此次调研评估较好地总结了国家及国际网络演习的现状,主要结论如下。
(1)网络演习次数逐年增多。
网络演习日渐普遍,2010年后演习数量更是激增,这与政策支持和网络攻击威胁不断增多不无关系。很多演习作为系列演习的一部分,每年都举行,这种趋势在未来数年仍将继续。
(2)网络危机合作不断发展。
不仅网络演习日渐普遍,网络危机合作方面的举措也在不断发展。网络安全已成为欧洲国家的紧要事务,受到越来越多的关注。
(3)多数欧洲国家参与了国家和多国网络演习。
多数欧盟和欧洲自由贸易区国家既组织过国家演习又参加过多国网络演习。这说明参与国际演习对组织国家层面的网络演习能够起到补益作用,国际网络危机合作能够在这些演习中得到发展。对于本身能力有限的国家(例如没有能力组织国家演习),参加国际演习能够帮助他们达到欧盟制定的国家网络安全标准。网络危机往往超越国境,这一事实也为大国帮助网络安全应急能力较弱的邻邦提供了动力,凸显了多国联合组织跨国网络演习的必要性。ENISA通过组织网络演习研讨会和泛欧洲地区网络演习的方式支持各国的网络演习活动。
(4)政府机构与私营企业之间的交流合作至关重要。
鉴于很多私营企业是重要信息基础设施的所有者、管理者和使用者,因此未来的网络演习更需要加强政府机构与私营企业的合作。
(5)必须更加重视演习管理工具。
对演习管理工具的重要性认识不足是所有网络演习普遍存在的问题。演习管理工具可以用来协助进行演习准备和评估。
(6)促进演习规划、监控与评估方法的使用。
演习规划、监控和评估关系到演习是否能够成功,演习规划包括完善演习方案、程序,修改演习策略等,监控和评估能够进一步帮助演习组织者建立反馈机制,总结经验教训。本次调研发现演习监控、评估方法的使用有限,在未来演习中应该更多地使用这些方法。
建议
报告提出了一些能够提高演习质量、增加演习数量的建议,这些建议有助于增强重要网络基础设施及服务对网络安全事件的承受能力。
(1)打造更为协调的网络演习环境。
随着网络演习范围的不断扩大,网络危机合作的不断发展,应该努力打造一个更加协调的网络演习环境,让全球网络演习领域的利益方能够充分交流与探讨该领域的好做法、挑战及经验教训。如何以取长补短为目的,协调网络计划,实现同步化是网络演习界面临的一个艰巨的挑战。此外,建议继续组织网络危机合作国际会议,为建立更加协调的网络演习群体创造条件。
(2)建立公私合作,加强网络演习经验交流。
公共机构与私营企业之间通过合作共同保护重要信息基础设施非常重要,而组织联合演习和分享好的做法和经验则是实现合作不可或缺的手段。经验交流可以通过建立专门的数据库、观摩演习、学习交流等方式实现。
(3)继续推进演习管理工具的开发。
在网络演习中,良好的方法和自动化的工具能够有效地提高演习设计、实施及评估的效率。包括模拟器和仿真机在内的各种演习管理工具能够在提高演习效率的同时使演习质量更高,效果更好。报告呼吁业界人士支持网络演习管理工具的开发、应用和共享。
(4)力求在部门间、国际和欧洲层级举行更复杂的网络演习。
网络事件/危机大多是跨界的,包括跨国境、跨部门等,这种情况带来的挑战就是,如何组织能够检验跨界网络事件各种复杂情况的网络演习,特别是在需要同时检验不同层级应急响应能力的时候(包括战役、战术和战略演习层面)。报告建议业界人士与ENISA一起,共同为组织更为复杂的网络演习而努力。
(5)将网络演习纳入网络危机应急方案。
各国应制定、维护并及时更新网络危机应急方案和标准合作程序。响应结构的持续完善需要网络演习的支撑。为了更好地备战网络危机,建议欧盟成员国相关决策者将网络演习纳入网络危机应急方案和标准合作程序。ENISA曾过一份《国家网络应急方案实践指南》。
(6)及时更新网络演习方法。
2009年,ENISA颁布了《国家演习实践指南》,代表着网络演习向着用更正规的方法进行规划和实施迈出了第一步。报告建议ENISA根据近几年欧洲相关政策的变化、本次调研的研究成果以及有关论坛获得的相关报告整合、改进上述文件推荐的网络演习方法,利用相关工具设计出正规的网络演习规划及组织办法。
2007年起,联合国、北约、欧盟、欧安组织和其他国际组织或引入了新的网络安全政策或修改了已有的条款。
在专家的讨论以及解决网络事件的过程中,10条有关此问题的规则逐渐显现。这些规则为解决网络事件和网络安全问题提供了一个抽象但相对集中的法律看法,也凸显了法律理论和实践之间的差异。
领土原则
网络基础设施受国家及其的管辖。各国政府都可以对坐落在其境内的信息设施行使有效的控制,比如保证记录的有效和质量,及对电子交换服务提供商的监控,提高应对管辖范围内存在的威胁以及自身处置各类事件的能力,平衡信息社会发展和国家安全利益等。
领土原则使国家能够对境内或受管辖的信息基础设施实行掌控。一个国家保证自身网络的责任得到了国际公认的非干预和概念的支持。
责任原则
网络攻击发起自一国境内的信息系统即为该事件归属的证据。如果网络行动来自于政府的网络设施,那么该国政府与此行动有否关系是值得商榷的。因此,国家需要考虑自己有可能会被认为同攻击有关或是他方利用了政府的信息设施。它们将会受到公众谴责,并会被要求做出回应或协助调查。识别攻击源或发起者的信息,采用合适的手段和工具,甚至法律执行手段,比如没收、逮捕和,应当在那些被卷入国家中进行调查。
各国同样也需要通过更严格控制境内信息设施的使用来提高其自身的网络安全水平。当然,经济和安全利益之间的平衡也需要根据具体情况而定。
合作原则
网络攻击来自于一国境内设施的事实构成了该国需要配合受害国调查的义务。国际信息基础设施的相互关联性使任何国家都无法在那些设施可能被用来发动攻击的国家不愿合作的情况下进行自我防卫。公共和私有机构,以及国家政府和国际组织之间需要更有效的合作。法律、政策、军事和技术专家之间跨领域的合作同样也是必要的。
尽管大多数信息设施是私人拥有和运作的,公共信息服务和网络有很大一部分都通过合同依靠私有部门的支持。合作可以借助咨询、信息交换、资源重置和服务支持的形式进行。在互联网服务提供商合作、数据交换、合作关系以及结盟协议方面的国家条款将会支持合作的法律框架。
《网络犯罪公约》也要求各方进行合作,包括在刑事犯罪、统一或互惠协议和国内法律上应用国际合作工具,最大程度来调查或同计算机系统和数据相关的违法行为,或是收集犯罪行为的电子类证据。合作原则在《北大西洋公约》中也有所体现,各方将会根据一国的要求,共同解决受到威胁国家的、政治独立或安全问题。
自我防卫原则
人人都有权力自我防卫。自我防卫的概念在刑法和国际法中均有涉及。原则上来说,根据行动的合适性和必要性,每个人都有自我防卫的权力。
在刑法中,如果受害人有理由相信自己将会遭受非法势力的侵犯,则其在自我防卫中采取的在正常情况属于违法的行动将不用承担任何法律责任。这并不是说每次网络“还击”都是合法的;这应该是最后的选择。
在国际层面,个人和集体的自我防卫标准是根据惯例、《联合国》以及《国际案例法》来决定的。如果网络攻击符合“武力攻击”的范畴,那么就会引起个人或集体的自我反击。对网络攻击的评估,根据影响、结果和本质来判定是否等同于“武力攻击”,这需要由国家机构,或在合作行动下由国际盟友(比如参照《北大西洋公约》第5条款)来决定。
信息保护原则
监控数据的信息基础设施应被视为是个人的,除非另有规定(欧盟的普遍解释)。网络监管和信息交换的需要应该根据个人的隐私权进行仔细评估。目前在数据及其安全方面的法律和技术手段还存在着巨大的差异。尽管技术层面看似已经实现了对网络信息的监管,并成为常规,但法律专家对这个问题仍有着很多担忧。
根据《欧盟数据保护指令》,任何可辨识的自然人的信息被认为是个人信息。在执行此指令的国家中,较为普遍的观念是网络地址是个人信息,应该根据国家法律受到约束。其中包括要求获得信息主体关于处理信息的许可,限制信息传输至第三国,以及在有证据的情况下禁止使用由非法途径获得的数据。同时《欧盟数据保护指令》还规定,只在第三国保证对信息予以充分保护的情况下才可将个人信息传送至第三国。
这些约束可能会妨碍在国家层面上识别、追踪或预防网络攻击,但这个指令同时也在公共利益和国家安全方面做出了特别规定。在刑事诉讼方面也有例外。明确数据和信息包检查手段及其需求将能帮助建立保护隐私和实行监控之间的平衡。
注意责任原则
人人都有责任对自己的信息基础设施采取合理的安全措施。注意责任的概念在法律中的很多方面都沿用已久:个人有义务保护自己处理的信息、来自信息保护法律框架的尽责义务、信息社会服务、客户保护等等。
比如,在《欧盟数据保护指令》中,个人信息的控制者必须采取恰当的技术和组织措施来保护信息不受偶然或非法的损坏或遗失、替换、未授权的披露,尤其是在信息处理过程中包含了网络数据传输情况,以及所有其他非法信息处理形式。这些措施应当能保证一定程度的安全,适合于信息本身及其处理过程中所可能遭遇的风险,同时也考虑了技术的先进性和实施的成本。
另一个类似的浮动标准是1981年通过的《欧洲议会个人数据保护协议》。其中第7条款要求对储存在自动数据文档中的个人信息予以恰当的保护,防止信息在意外或未授权情况下被损毁、遗失、获取、替换或传播。
随着带有政治色彩的网络威胁越来越普遍,注意责任概念应当进行扩展,从而为重要的信息基础设施和政府或军事信息服务提供安全标准。
预警原则
有义务通知潜在受害者关于已知的、将会发生的网络攻击。2008年,在立陶宛议会通过一项禁止使用原苏联标志的法案后,立陶宛的300多个网站的页面被入侵,布满了榔头镰刀图案。此次攻击本身包括了一个简单、很容易修复的互联网提供商的脆弱性问题,但对攻击的反应却有着更广泛的后果:在得知即将发生网络攻击后,互联网提供商对客户发出了相关的预警。如果能够广泛应用,这种措施可以大大提高网络安全性。
政府机构提前获得网络攻击预警的这个事实凸显了政府信息设施的服务等级协议(SLA)标准以及对能将网络威胁通知公共和私有互联网提供商的无歧视性责任的需求。
根据《电子商务指令》,成员国可以要求信息社会服务提供商承担及时向公共权威机构通报非法活动的责任和义务。
信息披露原则
公众有权了解自身在生活、安全和福利方面的威胁。欧洲目前较倾向于提高政府行为和记录的透明度,授权公众了解同其生活和福利息息相关的威胁和决策。信息的持有者有义务向生活、健康和财产受到威胁的个人披露已掌握的信息。
这种做法是假设公共部门信息应该可以公开获取,除非有不得已的原因。尽管信息披露能够让公众了解威胁和攻击,并提高网络安全性,但这样做也可能会导致不必要的信息传播。
私有部门担忧公布遭受网络袭击以及产生的后果有可能会降低公众对其商业模式或服务的信任。但政府若要对出于政治目的的网络袭击进行反应,就必须公开这些信息。在公共和私有部门的利益之间必须取得一个平衡。关于攻击的手段、目标和后果的公开讨论可能也会增加脆弱性,因为这可能会让攻击者获取他们原本不了解的信息。
关于信息披露的法律框架在战略交流和公众意识方面将会是网络安全问题的一个重要方面。
犯罪行为原则
各国都有责任将最常见的网络攻击行为纳入刑法中。在刑法中,网络攻击已经被定义为只有在这些行为构成刑事犯罪时才能被调查和。
带有政治意图的网络犯罪通常是一种针对社会而非特定个人或实体的威胁,因此对待这种网络攻击的方式应不同于出于经济目的的网络犯罪。
现有的国际协议,比如《欧洲网络犯罪公约》,是加强和协调各国对网络犯罪的法律措施的良好起点。每个成员国都应建立相应的国内法律以及其他必要措施来对应这样的犯罪行为,而当犯罪行为系有意而为时,则应剥夺其进入整个或部分网络的权利。
授权原则
一个机构的行动(和管理)能力来自于对它的授权。授权原则与全球网络安全领域中定义和协调的国际行动相关。它最特殊和最主要的重要性在于制定新的或修改已有的网络安全议事日程。
在现有的网络安全法律和政策工具中,存在着国际协调上的重复或缺失现象。比如,国际网络犯罪预防协调至少是6个主要国际组织所关注的问题。对于国家政府和国际组织来说,这就造成了一个对国家网络安全框架恰当投入的问题。
要决定政府对网络能力的投入是否恰当,国际组织应当利用并提高其他机构的能力。比如,尽管北约在这个问题上主要关注的是协同自我防御机制,但它仍然需要在“武力攻击网络”这个类别下建立解决网络事件的框架,无论被攻击的目标是机构本身还是某个成员国。网络防御的成本要比发起一次攻击昂贵得多,而随着政府信息设施越来越多地成为目标,提升国家和国际防御能力将会成为一个投入问题。
在不久的将来,我国公民将拥有一张像“居民身份证”那样权威、统一、普适性的“网络身份证”。
据日前从公安部第三研究所获悉,经过五年技术攻关,我国自主研发的“网络身份证”技术难题已被攻克,并建立起全国唯一的“公安部公民网络身份识别系统”。根据相关统计报告,截至201 4年6月,我国网民规模达到6.32亿,网络空间已经成为日常生活的重要载体。但是由于网络空间中身份的虚拟性和不确定性,使得网络空间中的各种虚拟实体和角色缺乏有效管理,带来网民隐私信息泄露、黑客偷盗、商业欺诈和虚假信息等问题,对电子交易、公民财产安全及社会安定造成了巨大的危害。而该技术采用了“国密SM2”算法,通过高强度安全机制,可以确保无法被复制、篡改或非法使用,这为对网络虚拟世界的有效管理提供了便利,攻克了网络安全等诸多隐患,互联网上的身份认证和个人隐私保护将会变得更简单、更安全。
美国早在2011年就将其作为国家网络安全战略重要组成部分开始启动网络身份证战略部署,目前欧盟的10个国家开始了网络身份认证。我国公安部从2012年起在北京邮电大学及多个省(市)单位进行试点,目前与工商银行合作,2014年年底前与中行、建行等银行合作,搭载银行卡免费发放。今后可用于电子商务、政务民生、社交网络、移动互联等应用。
网络身份证是网上的身份标识,俗称网络名片。它保存在网络上,可包含比现实名片多的多的内容。网络身份证(VIEID),全称虚拟身份电子标识(identity electronic identification)是互联网络信息世界中Virtual标识用户身份的工具,用于在网络通讯中识别通讯各方的身份及表明我们的身份或某种资格。
一、发行背景
在互联网时代,人们以网络为平台构建了一个繁荣的互联网社会。在这个特殊的社会里,巨量基于互联网的各种应用服务和人数众多的网民构成了互联网的根本,但也因此使得互联网杂乱不堪和危险。在这种以网络代码为基础的交流方式里,人们以虚拟的身份出现,正是这种交流方式给于了不法份子以可乘之机进而出现了网络盗窃、诈骗等违法犯罪活动。基于此,互联网环境迫切需要变革,而网络实名制和网络身份证(VIEID)正是良方。在这方面,互联网的发源地美国已先行先试。2011年1月17日奥巴马政府责成美国商务部,就如何才能妥善地建立一套“网络身份证”制度尽快出一个解决方案。之后,总统奥巴马公开了一份名为《身份认证国策》的草案。其它互联网用户大国的相关计划亦已提上日程或正在实施当中。
二、发展过程
厦门试点:2014年9月份厦门企业、市民可以使用一张小小的“U盘”访问厦门的公共服务应用,这张“U盘”就是经过三方数字认证的密钥,也就是在网络上具有法律意义的身份证。
截止到2014年10月30日,已经发放700万张网络身份证EID,计划2014年发行2000万张。
三、社会影响
网络身份证(VIEID)的出现将使互联网变的更加简便、高效、安全与可信。在不久的未来,每一位互联网的使用者都将拥有一个网络身份证。这将使你使用各种互联网服务时更加方便,不需要再填写烦琐的注册信息,只需要输入你的网络身份证号和管理密码即可轻松完成,且不需要再记住其它的各种烦琐的账号和密码。在你的网络身份证管理中心可以管理你在互联网所使用的服务亦可查看你在互联网留下的所有足迹。比如你注册使用了facebook、fasdl、QQ、人人网、开心网等,在你的网络身份证管理中心就能直接使用这些服务而不需要再输入账号密码。在你不想使用某一项服务时,直接在网络身份证管理中心注销既可。有了VIEID,互联网的每一位用户都可以相互信任彼此的身份,同时,严格且完善的隐私管理机制也使得用户的个人信息免遭泄露。
四、网络身份证怎么办
据了解,目前中国工商银行已在全国试点发行加载EID的金融IC卡,也就是说,现在市民可以去工行申请办理“网络身份证”。
银行工作人员介绍,现在工行的确已经开通了办理“网络身份证”的业务,市民只要带着居民身份证或者临时居民身份证,到当地的工行网点办理即可。但工作人员同时提醒,每个银行网点的卡片数量不一样,有的银行网点可能暂时办不了这项业务,为了避免空跑一趟,市民办理前最好打电话确认一下。
办好了“网络身份证”,又该如何使用呢?据了解,目前有两种方法。
一种是在移动终端中,只要在智能移动终端中安装EID助手,绑定您的EID,就可以使用。另一种是在计算机中,需要先安装EID维护工具,将EID卡插入连接计算机的EID读卡器,就可以使用。
■美国战略
2011年,在美国总统奥巴马的推动下,作为国家网络安全战略重要组成部分,美国商务部启动网络身份证战略。
奥巴马提出的网络身份证国家战略,也称“网络空间可信身份标识国家战略”(NSTIC)。自互联网问世以来,由于网络空间存在的虚拟性和自由性,它在提供极度自由性的同时,也使得网络诚信存在巨大漏洞。在网络空间,全球一直没有可靠、公认和通用的身份识别技术。由于没有真实可靠的身份认证,互联网本身应有的巨大社会和经济价值难以全部得到发挥,黑客入侵和网络欺诈屡见不鲜。
随着互联网在全球的普及以及经济全球化、网络化的深入,网络身份证不可避免地被提到议事日程上来。美国提出的“网络空间可信身份标识国家战略”最早于2010年6月25日由白宫公布于世。其主要内容如下:
——网络空间是一个国家关键基础设施的重要组成部分。安全的网络空间对于国家经济健康和安全至关重要,随着网上欺诈、身份窃取和在线信息滥用情况的快速增多,联邦政府必须加以应对。
——减少网上欺诈和身份盗取关键是提高网络空间身份标识信任等级,参与交易各方高度确信他们是在与已知的实体交互,这非常重要。假冒网站、窃取密码和破解登陆账户,是不可信赖的网络环境的共同特征。本战略旨在寻求有效方式,提高在线交易中所涉及的个人、组织、服务和设备的身份标识的可信度,其目标是以增进信任、保护隐私和创新的方式,推动个人和组织在网络上使用安全、高效、易用的身份标识解决方案。
——本战略定义和倡导支持可信网上环境的身份标识生态系统。同时,身份标识生态系统能够保证其安全性、方便性、公平性、创新性,身份标识证书和设备将由采用互操作平台的供应商提供。
——隐私保护和自愿参与将是身份标识生态系统的支柱,身份标识生态系统通过只共享完成交易的必要信息,来保护匿名参与方。例如,身份标识生态系统允许个人身份只提供年龄信息而不泄露出生日期、姓名、地址或其他识别信息,支持对参与者身份标识进行确认的交易。通过更强大的访问控制技术,减少非授权访问利用其信息的风险。
——身份标识生态系统的另一支柱是互操作性,这一系统利用强大的互操作技术和流程,在参与者之间建立合理的信任水平。互操作性支持身份标识可移植性,并使身份标识生态系统中的服务提供者可接受各种证书类型和身份标识媒介类型,这一系统不依赖于政府作为唯一身份标识提供者。
——互操作性和隐私保护相结合,建立用户为中心的身份标识生态系统。允许个人选择适合交易的互操作证书,并通过建立和采纳隐私强化政策和标准,个人有能力仅发送完成交易所需信息。此外,这些标准将禁止把个人的交易和证书使用与服务供应商挂钩。个人将更有保障地与合适交易方交换信息,安全地发送这些信息。
美国这一国家战略提出,为实现身份标识生态系统,将确定以下四项主要具体目标:建立一个综合的身份标识生态系统框架;建立可互操作的身份标识基础设施;增强用户信心和参与身份标识生态系统的意愿;确保身份标识生态系统的长远成功。
推动和建立本国以及国际间的网络身份证战略,藏有巨大商机,具有重要的社会价值和经济价值,这将是信息高速公路建设后,涉及全球的巨大信息技术工程。奥巴马一心想通过这一战略,再次引领世界经济新潮流,占领未来全球经济的制高点,恢复美国经济。
5月6日,欧盟正式公布其“单一数字市场”战略的详细规划。5月24日,布鲁金斯学会科技创新研究中心就发表题为《欧盟的“单一数字市场”战略:政府稳定发展的期望与快速的市场创新间的冲突》的文章提出,欧盟不能要求数字市场按照既定路线稳定发展,当市场出现重大转变时,政策制定者必须及时跟进、调整方向,只有这样,“单一数字市场”才有可能实现。
战略内涵与目标
“单一数字市场”是指满足以下3项条件的市场:商品、人员、服务和资本可以保证自由流通;居民、个人和商家能无缝衔接且所有线上活动都是在公平竞争条件下进行;个人资料信息高度保密,不考虑其国籍或居住地。基于此,文章认为,“单一数字市场”战略的目标非常明确:
第一,为个人和企业提供更好的数字产品和服务。包括:促进跨境电子商务发展、提供质优价美的商品物流服务、改变同种商品在不同成员国不同价的现状、完善版权保护制度以及推动提供跨境电视服务等。
第二,创造利好环境以便数字网络和服务能更好地发展。包括:电信领域改革、全面评估现有在线平台作用和质量(如社交媒体、搜索引擎等)、强化个人数据保护、完善个人数字化服务等。
第三,实现数字经济增长潜力的最大化。包括:欧盟范围内各个国家间的数据资源自由流通、在现有基础上从电子医疗和交通规划等方面入手建立统一的系统以实现联通共享等。
根据欧盟委员会的预测,“单一数字市场”战略实现后,每年将给欧盟带来4150亿欧元的收入,随之而来的便是大量增长的就业机会和预期中稳定的经济增长。可以看出,帮助欧盟摆脱现有经济困境是这一战略最主要的目标。
欧盟委员会主席让―克洛德・容克(Jean-Claude Juncker)表示,当前跨境壁垒以及国家间电信、版权、电子商务、数据保护、消费法规等方面的差异,正在阻碍欧盟国家数字市场的发展,而“单一数字市场”战略的目的就是尝试克服这些阻碍。
欧盟面临三大挑战
“碎片化”一直是欧盟发展面临的一大棘手问题,这一“先天性”难题给欧盟许多政策的实施都带来巨大挑战,“单一数字市场”战略的实施也不例外。
欧盟面临的第一大挑战,就是成员国之间数字经济发展的不平衡。在数字经济发展方面,丹麦、芬兰、瑞典等北欧国家已跻身世界前列,是欧盟数字经济发展无可争议的领导者,而罗马尼亚、保加利亚和希腊等国家,仍需突破一些内在因素的阻碍,迎头赶上。
另外,欧盟还需破除诸多跨境壁垒,如地理阻碍以及版权法规、电子商务、个人信息保护等方面的不统一。文章提出,目前欧盟内的消费者在购买除本国外其他成员国生产的数字信息产品时,还存在许多不便之处。更令一些消费者头疼的是,一些在本国购买的电子信息产品,在欧盟其他国家使用时也遇到很多困难。 2016年世界移动通信大会中国企业表现抢眼。
例如,欧盟内只有49%的互联网使用者在线听音乐、看视频和玩网络游戏,其中,只有近一半的消费者会在线购买音乐,不到20%的人会从欧盟内其他成员国在线购买音乐。部分消费者表示,除在他国购买在线数字商品不便外,对个人数据保护方面的担忧也是因素之一。
再者,欧盟内消费人群的消费习惯和商家的销售习惯也是一大挑战。文章指出,由于版权相关法规的限制,欧盟内消费者对数字信息产品的需求度始终无法维持高位。同时,欧盟目前采用网络销售方式的企业并不多,仅有不到1/5,过去5年里这一比例也只上升了3.5%。可见,为保护绝大多数创作者的合法权益,欧盟需要在各国的法律法规间找到一个平衡点。
文章认为,“单一数字市场战略”真实地反映出欧盟在面对当前一系列实际困难时的雄心壮志,至少,欧盟不希望自己的数字市场和经济只是各成员国网络市场的“拼凑物”。然而,要想实现“单一数字市场”战略,欧盟的28个成员国不仅需要尽最大努力消除部分差异,还要以巨大的勇气和担当创造一些共通之处。
战略的新启示
尽管许多国家和地区的数字市场发展不会面临欧盟当前的局面,但欧盟“单一数字市场”战略的提出,仍给其他国家和地区数字市场的发展带来一些新的启示。
文章认为,期待数字市场发挥潜力并为经济稳定发展做出贡献的思路和想法无可厚非,但是,数字市场的发展极其迅猛,欧盟这一战略实际略显“僵化”。欧盟计划该战略在2020年全部实现,可鉴于当前的完成情况(仅完成全部计划的1/3),这一目标很难按期完成。为此,欧盟需调整该战略的完成期限,其中不少具体项目的实施细节也要随之调整。
例如,目前仅有8%的欧盟家庭办理访问速度至少为100Mb/s的超高速宽带网络,而这与欧盟设定的到2020年达到一半的目标仍有较大差距。
不过,欧盟这一战略中“整合资源,避免碎片化”的思路非常值得借鉴。为促进欧洲的中小企业、研究人员以及政府部门等充分利用新技术,作为推行“单一数字市场战略”的一部分,欧盟委员会出台了产业数字化新规划。近期,欧盟已开始协调各成员国和地区在产业数字化方面作出整体规划,并利用欧盟公私合作关系吸引投资,如建立泛欧盟数字创新枢纽网络、建立大规模试点项目加快物联网建设进程等。
欧盟在一些重点领域加大投入,打造数字经济亮点的策略,也十分具有启发性。据报道,欧盟将在5G通信网络、云计算、物联网和网络安全等方面,尝试建立统一的标准。尽管难度不小,但一些有益尝试已在进行。
购物车(0)